GPO Desktop + Quick Launch

[cornulio 10]

Hallo,

 

Ich habe hier schon die Suche bemüht und auch google. Aber bin nicht so recht auf eine Antwort gestoßen.

 

Ich habe hier einen 2k3 Server und Win2k Clients. Ein paar davon sind Intranetstationen in Werkstätten. Die User dort sollen nur den Mozilla starten können und eventuell die Station runterfahren nach Feierabend. Den Großteil des ganzen habe ich schon per GPO gelöst nur 2 Sachen sind da noch offen.

 

Sie sollen weder auf dem Desktop noch am Quick Launch etwas ändern können. d.h. weder Dateien hinzufügen noch entfernen. Auch nichts dorhin runterladen. Das Kontextmenu habe ich auf dem Desktop schon abgeschaltet. Aber die Verknüpfung zum Mozilla kann immer noch entfernt werden.

 

Das Profil liegt auf dem Server, damit ich eventuell zentral eine Verknüpfung hinzufügen bzw entfernen kann.

Ändern der Zugriffsrechte dort bringt nur Fehlermeldungen dass das Profil nicht gespeichert werden kann.

 

Vielen Dank schon mal

 

Grüße

 

cornulio

[IThome 10]

Ändern der Zugriffsrechte dort bringt nur Fehlermeldungen dass das Profil nicht gespeichert werden kann.

Auch wenn Du die NTUSER.DAT in NTUSER.MAN umbenennst ? Möglich wäre es auch, diese (Desktop)Verknüpfung in All Users zu kopieren ...

[cornulio 10]

ok damit wäre zu mindest das problem beseitigt. allerdings können sie immer noch dateien ablegen/löschen was sie nicht sollen.

 

vielen dank

[IThome 10]

Hab das mal mit Mandatory Profiles probiert. Also ein Profil erstellt, auf den Server kopiert, die NTUSER.DAT in NTUSER.MAN umbenannt, NTFS-Berechtigungen auf Benutzer - Lesen und Administratoren - Vollzugriff, Freigabe auf Jeder - Vollzugriff. OU erstellt, dorthin die Computerkonten der Rechner geschoben, an denen sich die Leute anmelden, Gruppenrichtlinie "Computerkonfiguration - Administrative Vorlagen - System - Benutzerprofile - "Zwischengespeicherte Kopien von servergespeicherten Profilen löschen"" erstellt und in die OU gelinkt ...

edit: Die Einstellungen des GPOs sind nicht zwingend erforderlich. Man kann zwar Ordner anlegen , die sind aber beim erneuten Anmelden nicht mehr sichtbar, befinden sich aber im zwischengespeicherten Profil ...

[cornulio 10]

ok also kann man den Schreibzugriff auf den Desktop nicht verweigern? Etwas nervig aber so ist es auch ok. Dann muss halt geklärt werden das nix auf dem Desktop gespeichert werden darf...

 

Vielen dank für deine Bemühungen :)

[IThome 10]

Ich habe jetzt nicht geprüft, ob, wenn ich das zwischengespeicherte Profil nicht lösche, der lokal angelegte Profilordner oder zumindest Teile davon schreibgeschützt sein dürfen. Das Serverprofil ist schreibgeschützt und verpflichtend, das kann der User nicht verändern. Er kann die zwischengespeicherte Kopie verändern, bekommt nach dem Anmelden aber wieder die servergespeicherte Version. Wenn jetzt noch die zwischengespeicherte Kopie gelöscht wird, sind alle Änderungen, die der User während der Sitzung vornimmt, dauerhaft gelöscht ...

[cornulio 10]

das hatte ich schon probiert dann sich der user nicht anmelden da ja das profil nicht lokal gespeichert werden kann.

[IThome 10]

Wäre ja auch ziemlich aufwändig, die Berechtigung auf jedem Client zu setzen (obwohl man sowas auch über GPO machen könnte). Aber wie schon gesagt, Anlegen und Verändern können sie, alle (Profil) Änderungen werden nach dem Abmelden aber gelöscht .

Also wäre wohl eine Kombination geeignet, verpflichtendes Profil, die wichtigen Desktop-Icons ins All User Profil und löschen des temporären Profils ...